Empfänger, die die E-Mail für echt halten und das beiliegende "Formular" öffnen, werden an die folgende Adresse weiter geleitet:
http://amen.fr.softms.com.netwayexchange.com.liberty-textiles.org.v2nmobile.com.manchesteraircooled.com.blackcountrymortgages.com.cardiorenew-europe.com.solhosts.com.giveupthecigs.com.extravite.com.taxrepay.co.uk
Offenbar sind die Betrüger davon ausgegangen, dass misstrauische Zeitgenossen bei einem Blick auf diese Url wenigstens irgendetwas entdecken, das ihnen bekannt vorkommt.
Tatsächlich wird die Adresse weitergeleitet an die Url reserve.bank.minecraftarena.fr, wo das eigentliche Phishing vonstatten ging (die Adresse ist nicht mehr erreichbar). Die Nutzer wurden aufgefordert, dort eine Reihe persönlicher Daten samt Kreditkartennummern und Login-Details zum Online-Banking anzugeben.